Поделиться через

Пиринг между виртуальными сетями

  • Статья

Пиринг между виртуальными сетями позволяет легко подключать две или несколько виртуальных сетей в Azure. После создания пиринговой связи две виртуальные сети выглядят как одна сеть в плане подключения. Точно так же трафик между виртуальными машинами в одноранговых виртуальных сетях использует магистральную инфраструктуру Майкрософт. Как и трафик между виртуальными машинами в той же сети, трафик направляется только через частную сеть Майкрософт.

По умолчанию виртуальная сеть пиринговая сеть имеет до 500 других виртуальных сетей. Используя конфигурацию подключения для Диспетчера виртуальная сеть Azure, можно увеличить это ограничение до 1000 виртуальных сетей в одной виртуальной сети. С помощью этого большего размера можно создать топологию концентратора и периферийной сети с 1000 периферийными виртуальными сетями, например. Вы также можете создать сетку из 1000 периферийных виртуальных сетей, где все периферийные виртуальные сети напрямую связаны.

Azure поддерживает следующие типы пиринга:

  • Пиринг между виртуальными сетями. Подключите виртуальные сети в одном регионе Azure.
  • Пиринг глобальной виртуальной сети: подключение виртуальных сетей между регионами Azure.

Преимущества пиринговой связи между виртуальными сетями (как локальной, так и глобальной):

  • подключение между ресурсами в разных виртуальных сетях, характеризующееся низкой задержкой и высокой пропускной способностью;
  • Возможность взаимодействия ресурсов в одной виртуальной сети с ресурсами в другой виртуальной сети.
  • Возможность передачи данных между виртуальными сетями между подписками Azure, клиентами Microsoft Entra, моделями развертывания и регионами Azure.
  • Возможность пирринга виртуальных сетей, созданных с помощью Azure Resource Manager.
  • Возможность одноранговой связи виртуальной сети, созданной с помощью Resource Manager с сетью, созданной с помощью классической модели развертывания. Дополнительные сведения о моделях развертывания Azure см. в статье Развертывание с помощью Azure Resource Manager и классическое развертывание: сведения о моделях развертывания и состоянии ресурсов.
  • Время простоя ресурсов в виртуальной сети при создании пиринга или после создания пиринга.

Сетевой трафик между одноранговыми виртуальными сетями является закрытым. Трафик между виртуальными сетями хранится в магистральной сети Майкрософт. В обмене данными между виртуальными сетями не требуются общедоступные интернет-шлюзы или шифрование.

Подключение

После создания пиринговой связи между виртуальными сетями ресурсы в одной виртуальной сети могут напрямую подключаться к ресурсам в связанной виртуальной сети.

Задержки в сети между виртуальными машинами в пиринговых виртуальных сетях такие же, как и в пределах одной виртуальной сети. Пропускная способность сети зависит от пропускной способности виртуальной машины, которая пропорциональна ее размеру. Дополнительные ограничения пропускной способности при пиринге не применяются.

Трафик между виртуальными машинами в пиринговых виртуальных сетях передается напрямую через магистральную инфраструктуру Майкрософт, а не через шлюз или Интернет.

Чтобы заблокировать доступ к другим виртуальным сетям или подсетям, в любой виртуальной сети можно, при желании, использовать группы безопасности сети. При настройке пиринга между виртуальными сетями можно открыть или закрыть правила группы безопасности сети между виртуальными сетями. Если вы откроете полное подключение между одноранговыми виртуальными сетями, можно применить группы безопасности сети, чтобы заблокировать или запретить конкретный доступ. По умолчанию используется полное подключение. Дополнительные сведения о группах безопасности сети см. в разделе Группы безопасности.

Изменение размера диапазона адресов виртуальных сетей Azure с пиринговым подключением

Вы можете изменять размер диапазона адресов для виртуальных сетей Azure с пиринговым подключением без простоев в работе используемого диапазона адресов. Эта функция полезна, если необходимо изменить размер адресного пространства виртуальной сети после масштабирования рабочих нагрузок. После изменения размера адресного пространства одноранговые узлы должны синхронизироваться с новыми изменениями адресного пространства. Изменение размера одинаково применимо для адресных пространств форматов IPv4 и IPv6.

Изменить размер адресов можно следующим образом:

  • Измените префикс диапазона адресов существующего диапазона адресов (например, измените 10.1.0.0/16 на 10.1.0.0/18).
  • Добавьте диапазоны адресов в виртуальную сеть.
  • Удаление диапазонов адресов из виртуальной сети.

Изменение размера адресного пространства поддерживается между клиентами.

Вы можете синхронизировать одноранговые узлы виртуальной сети с помощью портал Azure или Azure PowerShell. Мы рекомендуем выполнять синхронизацию после каждой операции изменения диапазона адресов, а не один раз после нескольких операций изменения размера. Сведения об обновлении адресного пространства для одноранговой виртуальной сети см. в статье Об обновлении адресного пространства для одноранговой виртуальной сети.

Внимание

Эта функция не поддерживает сценарии, в которых обновляется виртуальная сеть с классической виртуальной сетью.

Цепочка служб

Цепочка служб позволяет направлять трафик из одной виртуальной сети к виртуальному устройству или шлюзу в одноранговой сети через определяемые пользователем маршруты (определяемые пользователем).

Чтобы включить цепочку служб, настройте UDR, указывающие на виртуальные машины в одноранговых виртуальных сетях в качестве IP-адреса следующего прыжка. UDR также могут указывать на шлюзы виртуальной сети для включения цепочки служб.

Вы можете развернуть центральные и периферийные сети сети, где узлы инфраструктуры концентратора, такие как сетевое виртуальное устройство или VPN-шлюз. Все остальные виртуальные сети ("лучи") могут подключаться по пиринговой связи к центральной виртуальной сети. Трафик проходит через виртуальные сетевые модули или VPN-шлюзы в центральной виртуальной сети.

Пиринг между виртуальными сетями позволяет следующему прыжку в UDR быть IP-адресом виртуальной машины в пиринговой виртуальной сети или VPN-шлюзом. Невозможно маршрутизировать между виртуальными сетями с помощью UDR, указывающего шлюз Azure ExpressRoute в качестве типа следующего прыжка. Дополнительные сведения о определяемых пользователем маршрутах см. в разделе "Общие сведения о определяемых пользователем маршрутах". Чтобы узнать, как создать топологию сети концентратора и периферийной сети, см. статью топологии сети концентраторов и периферийных серверов в Azure.

Использование шлюзов для локального подключения

Каждая виртуальная сеть, включая одноранговую виртуальную сеть, может иметь собственный шлюз. Виртуальная сеть может использовать свой шлюз для подключения к локальной сети. С помощью шлюзов также можно настроить подключение между виртуальными сетями, даже если для них установлена пиринговая связь.

Если для виртуальных сетей настроены оба типа подключения, трафик между виртуальными сетями проходит через пиринговую связь. Трафик использует магистраль Azure.

Можно также использовать шлюз в одной из этих одноранговых сетей в качестве транзитного пункта при подключении к локальной сети. В этом случае виртуальная сеть, используюющая удаленный шлюз, не может иметь собственный шлюз. Виртуальная сеть может иметь только один шлюз. Шлюз должен быть локальным или удаленным шлюзом в одноранговой виртуальной сети, как показано на следующей схеме.

Схема, показывающая транзит между виртуальными сетями.

Как пиринг между виртуальными сетями, так и пиринг между глобальными виртуальными сетями поддерживают транзитный шлюз.

Транзит через шлюз между виртуальными сетями, созданными с помощью разных моделей развертывания, поддерживается. Шлюз должен находиться в виртуальной сети в модели Azure Resource Manager. См. дополнительные сведения о настройке VPN-шлюза для передачи данных с помощью пиринга между виртуальными сетями.

При одноранговых виртуальных сетях, которые совместно используют одно подключение ExpressRoute, трафик между ними проходит через связь пиринга. Этот трафик использует магистральную сеть Azure. Вы по-прежнему можете использовать в каждой виртуальной сети локальные шлюзы для подключения к локальному каналу. Или настройте транзит через общий шлюз для локального подключения.

Устранение неполадок

Чтобы убедиться в том, что виртуальные сети являются одноранговыми, можно проверить действующие маршруты. Проверьте маршруты сетевого интерфейса любой подсети в виртуальной сети. Если пиринг между виртуальными сетями существует, все подсети в виртуальной сети имеют маршруты со следующим типом пиринга виртуальной сети для каждого адресного пространства в каждой пиринговой виртуальной сети. Дополнительные сведения см. в статье Диагностика проблем с маршрутизацией виртуальных машин.

Вы также можете устранить неполадки с подключением к виртуальной машине в одноранговой виртуальной сети с помощью Azure Наблюдатель за сетями. Проверка подключения позволяет увидеть, как трафик направляется из сетевого интерфейса исходящей виртуальной машины к сетевому интерфейсу конечной виртуальной машины. Дополнительные сведения см. в статье "Устранение неполадок подключений с помощью Azure Наблюдатель за сетями с помощью портал Azure".

Вы также можете просмотреть устранение неполадок с пирингом виртуальной сети.

Ограничения для одноранговых виртуальных сетей

Когда создается глобальный пиринг виртуальных сетей, действуют следующие ограничения:

Пиринги виртуальных сетей нельзя выполнять как часть операции виртуальной PUT сети.

Дополнительные сведения см. в разделе Требования и ограничения. Дополнительные сведения о поддерживаемом числе пиринга см. в разделе ограничения сети.

Разрешения

Дополнительные сведения о разрешениях, необходимых для создания пирингового подключения между виртуальными сетями, см. в разделе Разрешения.

Цены

Плата за вход и исходящий трафик, использующий пиринг виртуальной сети, взимается номинальная плата. Дополнительные сведения см. в разделе о ценах на виртуальную сеть.

Транзит шлюза — это свойство пиринга, позволяющее виртуальной сети использовать виртуальную частную сеть или шлюз ExpressRoute в одноранговой виртуальной сети. Транзит шлюза работает как для локального, так и сетевого подключения. Трафик к шлюзу (входящего трафика или исходящего трафика) в одноранговой виртуальной сети взимается плата за пиринг между виртуальными сетями в периферийной виртуальной сети (или виртуальной сети без VPN-шлюза). Дополнительные сведения см. в статье о ценах на VPN-шлюз Azure VPN-шлюз и платах за шлюз ExpressRoute.

Примечание.

Предыдущая версия этого документа заявила, что плата за пиринг между виртуальными сетями не будет применяться к периферийной виртуальной сети (или виртуальной сети, отличной от шлюза). Теперь она отражает точную цену на странице цен.

Связанный контент

  • Можно создавать пиринг между двумя виртуальными сетями. Сети могут принадлежать к одной и той же подписке, различным моделям развертывания в одной подписке или к разным подпискам. Изучите руководство одного из следующих сценариев:

    Модель развертывания Azure Отток подписок
    Обе — диспетчер ресурсов Та же
    Разные
    Одна — диспетчер ресурсов, вторая — классическая Та же
    Разные

  • Чтобы узнать, как создать топологию сети концентратора и периферийной сети, см. статью топологии сети концентраторов и периферийных серверов в Azure.

  • Дополнительные сведения о параметрах пиринга виртуальной сети см. в статье Создание, изменение или удаление пиринга между виртуальными сетями.

  • Ответы на распространенные вопросы пиринга между виртуальными сетями и глобальной пиринговой сети см. в статье об пиринге виртуальной сети.